La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sistemi di Gestione dei Dati e dei Processi Aziendali Il sistema di controllo interno – 20 principi.

Presentazioni simili


Presentazione sul tema: "Sistemi di Gestione dei Dati e dei Processi Aziendali Il sistema di controllo interno – 20 principi."— Transcript della presentazione:

1 Sistemi di Gestione dei Dati e dei Processi Aziendali Il sistema di controllo interno – 20 principi

2

3 Slide 3 I 20 principi per un efficace controllo interno Ambiente di controllo7 principi Valutazione del rischio3 principi Attività di controllo 4 principi Informazione e comunicazione4 principi Monitoraggio 2 principi

4 Slide 4 Ambiente di controllo – Principio 1 Integrità e valori etici Integrità e valori etici - particolarmente per le posizioni apicali - sono elaborati e compresi e costituiscono le fondamenta su cui costruire il codice di condotta per il financial reporting Caratteristiche del principio Definizione di chiari valori Monitoraggio della conformità Identificazione delle violazioni Approcci per applicare il principio Formulare chiaramente e mettere in pratica I valori etici e di integrità Comunicare al personale I valori etici e di integrità Dimostrare che il management si adopera attivamente nel mettere in atto i valori etici e di integrità nell’organizzazione

5 Slide 5 Ambiente di controllo – Principio 1 Integrità e valori etici Esempi di applicazione del principio °Newsletter finalizzata a potenziare i valori etici e di integrità Newsletter mensile a tutto il personale. Una sezione tratta argomenti quali l’etica, la mission, casi di questione etica e relativa soluzione raccomandata Promuovere la conoscenza di comportamenti etici Incontri periodici con il personale - Convention Allineare gli incentivi ai valori etici Una quota del 30% degli incentivi sono legati all’osservanza dei valori e del codice di comportamento

6 Slide 6 Ambiente di controllo – Principio 1 Integrità e valori etici Esempi di applicazione del principio Promuovere l’impegno all’etica Il codice di condotta è reso disponibile a tutto il personale e a terzi tramite sito Internet. Ogni dipendente riceve il codice e firma una attestazione di averne letto e compreso il contenuto Incoraggiare il personale a segnalare illeciti Implementazione di un canale riservato (ethic hot line /whistleblower). I dipendenti possono segnalare frodi potenziali o altri illeciti senza tema di ritorsione Attivare interventi correttivi in caso di evento illecito In presenza di sospetti illeciti/frodi la procedura prevede il blocco temporaneo degli accessi fisici e logici. Se i sospetti sono confermati si procede a sanzioni adeguate alla gravità del fatto

7 Slide 7 Ambiente di controllo – Principio 2 Consiglio di Amministrazione Il Consiglio di Amministrazione svolge un ruolo di supervisione e possiede conoscenze adeguate in materia di financial reporting e relativo controllo interno Caratteristiche Definisce i poteri Opera con indipendenza avendo un opportuno numero di amministratori indipendenti Svolge interventi di monitoraggio Ricomprende membri esperti del financial reporting Supervisiona la qualità e l’affidabilità del reporting Supervisiona le attività di audit

8 Slide 8 Ambiente di controllo – Principio 2 Consiglio di Amministrazione Il Consiglio di Amministrazione svolge un ruolo di supervisione e possiede conoscenze adeguate in materia di financial reporting e relativo controllo interno Il Comitato per il controllo interno esamina policy e procedure Il Comitato per il Controllo acquisisce informazioni tramite i whistle-blower L’attestazione di conformità del comitato per il Controllo Interno Riunioni del CdA e del Comitato per il Controllo Interno senza la presenza del management Approcci Identificare gli amministratori indipendenti Definire i ruoli e i poteri del CdA Il Comitato per il Controllo Interno esamina l’efficacia del controllo interno Il Comitato per il Controllo Interno incontra i revisori Il Comitato per il Controllo assume un atteggiamento scettico

9 Slide 9 Ambiente di controllo – Principio 2 Consiglio di Amministrazione Esempi di applicazione del principio Esame e documentazione delle attività fondamentali del CdA Il Comitato per il Controllo Interno esamina budget vs actual, partecipa alle più importanti decisioni operative della società, nomina la società di revisione, esamina l’attività dell’internal audit, valuta la propria attività,… Indipendenza dal Comitato per il Controllo Interno e degli esperti in financial reporting Il presidente del Comitato per il Controllo Interno incontra periodicamente l’audit partner. Esame delle stime di bilancio Il Comitato per il Controllo Interno discute le stime di alcune voci rilevanti del bilancio sia con il management che con la società di revisione. Il Comitato per il Controllo Interno interagisce con la società di revisione Il Comitato per il Controllo Interno monitora le performance della società di revisione

10 Slide 10 Ambiente di controllo – Principio 2 Consiglio di Amministrazione Esempi di applicazione del principio Il Comitato per il Controllo Interno determina se il management è potenzialmente in grado di eludere i controlli Il controllo è svolto attraverso il programma whistle-blower e interviste con il management non direttamente responsabile del financial reporting Cambiare la composizione del CdA di aziende familiari Amministratori indipendenti ed esperti in finanza e contabilità. Il Comitato per il Controllo Interno redige l’agenda dei lavori Calendario degli argomenti di interesse da trattare nel corso dell’anno successivo

11 Slide 11 Ambiente di controllo – Principio 3 Filosofia e stile di direzione La filosofia e lo stile di direzione contribuiscono a rendere efficace il controllo interno finalizzato al financial reporting Caratteristiche Determina il carattere generale dell’organizzazione Influenza i comportamenti nella scelta dei principi contabili e la determinazione delle stime di bilancio Definisce chiaramente gli obiettivi Approcci Enfatizzare l’importanza di mitigare il rischio Enfatizzare i requisiti del processo contabile Enfatizzare l’importanza dell’accuratezza Stabilire e formulare con chiarezza gli obiettivi del financial reporting

12 Slide 12 Ambiente di controllo – Principio 3 Filosofia e stile di direzione Esempi di applicazione del principio Enfatizzare l’importanza del financial reporting Monitorare l’attività del management operativo avvalendosi per aspetti particolari di una società esterna di internal audit Sollecitare suggerimenti per accrescere l’efficacia del controllo interno Spronare I dipendenti a fornire suggerimenti per il miglioramento del controllo interno Enfatizzare la filosofia di direzione con i soggetti esterni Sottolineare ai propri clienti l’impegno della società per l’eccellenza e per una condotta eticamente corretta

13 Slide 13 Ambiente di controllo – Principio 4 Struttura organizzativa La struttura organizzativa di un’impresa contribuisce a rendere efficace il controllo interno finalizzato al financial reporting Caratteristiche Definisce i livelli gerarchici interessati al financial reporting Definisce la struttura organizzativa che faciliti un efficace reporting e altre comunicazioni relative al controllo interno Approcci Definire l’organigramma Allineare i ruoli ai processi Definire e aggiornare un mansionario Definire le strutture organizzative Definire la struttura della funzione internal audit

14 Slide 14 Ambiente di controllo – Principio 4 Struttura organizzativa Esempi di applicazione del principio Definire un mansionario Realizzare ed aggiornare periodicamente un organigramma contenente le posizioni e le linee di riporto all’interno di ogni unità Riorganizzare per supportare la struttura di controllo Documentare I processi operativi per evidenziare I rischi chiave, I relativi controlli e le responsabilità del personale che opera nei processi.

15 Slide 15 Ambiente di controllo – Principio 5 Competenze in materia di financial reporting Personale esperto e competente in materia di contabilità e bilancio e che svolge un ruolo di supervisione deve essere trattenuto ed incentivato Caratteristiche Identifica le competenze Trattiene il personale Valuta le competenze periodicamente e se necessario richiede aggiornamenti Approcci Definire il profilo professionale ovvero conoscenze, competenze e attitudini Rafforzare le competenze con specialisti esterni Programmare interventi di formazione Valutare le competenze dei responsabili che svolgono ruoli chiave nell’area del financial reporting Esaminare e valutare le competenze del personale

16 Slide 16 Ambiente di controllo – Principio 5 Competenze in materia di financial reporting Esempi di applicazione del principio Avvalersi di un fornitore esterno di servizi Es. Esternalizzazione elaborazione e gestione cedolini paga Allineare le competenze con il profilo necessario per le posizioni chiave del financial reporting Controllo performance dipendenti e verifica competenze vs ruoli e responsabilità. Ricorrere ai servizi di una ditta di consulenza tributaria Avvalersi della consulenza di personale esperto in materie fiscali Valutare il personale chiave coinvolto nel financial reporting Il management definisce le capacità e le performance del personale chiave coinvolto nel financial reporting e decide il tipo di formazione da erogare e l’assegnazione degli incarichi.

17 Slide 17 Ambiente di controllo – Principio 6 Attribuzione dei poteri e delle responsabilità Sono attribuiti al management e ai dipendenti adeguati poteri e responsabilità per agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting Caratteristiche Definisce le responsabilità e i poteri al personale Definisce i limiti di autorità Approcci Definire gli obiettivi e le responsabilità Il Comitato per il Controllo Interno esamina le posizioni chiave su poteri e responsabilità Attribuzione dei poteri e delle responsabilità (SOD) Delegare poteri ai dipendenti per realizzare i miglioramenti nei processi operativi Allineare le posizioni con le responsabilità e I poteri

18 Slide 18 Ambiente di controllo – Principio 6 Attribuzione dei poteri e delle responsabilità Esempi di applicazione del principio Il Comitato per il Controllo Interno esamina i ruoli del management Esame delle responsabilità del management rispetto alla struttura organizzativa della società, sull’esperienza e sulle capacità dei singoli manager di esercitare praticamente le responsabilità assegnate Esame e approvazione del piano di intervento dell’internal audit Annualmente il direttore della funzione internal audit comunica al CFO, al CEO e al Comitato per il Controllo interno il piano di audit e il budget dell’anno successivo La riorganizzazione delle linee gerarchiche attuato dal top management Riallineare le responsabilità del management per supportare adeguatamente gli obiettivi del financial reporting

19 Slide 19 Ambiente di controllo – Principio 6 Attribuzione dei poteri e delle responsabilità Esempi di applicazione del principio Progetto di ridefinizione dei ruoli avviato dal Ceo con il supporto del Consiglio di Amministrazione Gli obiettivi di business vengono rivisti e allineati con I ruoli specifici e le responsabilità del management, relativi al processo di elaborazione del financial reporting Assegnazione delle deleghe Elaborazione di un organigramma che evidenzia, per tutto il personale, le responsabilità assegnate a tutti I livelli e i riferimenti al mansionario

20 Slide 20 Ambiente di controllo – Principio 7 Risorse Umane Le politiche e le prassi relative alle risorse umane sono progettate e realizzate per agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting Caratteristiche Stabilisce prassi di gestione delle risorse umane Favorisce la ricerca e la ritenzione del personale Attiva adeguati corsi di formazione Valuta le performance e le risorse premianti

21 Slide 21 Ambiente di controllo – Principio 7 Risorse Umane Le policy e le prassi relative alle risorse umane sono progettate e realizzate per agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting Approcci Definire e aggiornare le descrizioni relative alle diverse posizioni organizzative Definire e aggiornare le policy e le procedure aziendali relative alle risorse umane Esaminare i curricula vitae e verificare le referenze dei candidati Formazione Intervistare il personale che lascia la società Definire un sistema premiante Esaminare il sistema premiante Valutare le capacità del personale Attuare un processo di esame e valutazione del personale

22 Slide 22 Ambiente di controllo – Principio 7 Risorse Umane Esempi di applicazione del principio Definire le prassi di gestione delle risorse umane Un gruppo di lavoro formato da diversi manager definisce le policy per la gestione delle risorse umane Esame periodico delle politiche di gestione delle risorse umane Esame del contenuto, della rilevanza e della rapidità di diffusione delle policy e del loro livello di comprensione da parte del personale Ricerca e ritenzione del personale che occupa posizioni chiave per il financial reporting Il candidato viene selezionato direttamente dalla società tramite colloqui con il management seguiti da un incontro con il Cfo. Al candidato vengono offerti una buona retribuzione e periodi di formazione.

23 Slide 23 Ambiente di controllo – Principio 7 Risorse Umane Esempi di applicazione del principio Valutare l’integrità e l’etica nel processo di selezione del candidato Tutti I neo assunti ricevono il codice di condotta della società e devono firmare una dichiarazione di presa visione del codice Assicurare adeguati corsi di formazione professionale Il programma dei corsi di formazione viene comunicato a tutti i dipendenti, la società documenta la frequenza a tali corsi Applicare principi contabili complessi Inviare i manager a dei corsi di formazione per sviluppare le competenze contabili richieste

24 Slide 24 Ambiente di controllo – Principio 7 Risorse Umane Esempi di applicazione del principio Formazione erogata da organismi professionali Inviare i manager a corsi di formazione organizzati dagli ordini professionali di appartenenza Valutazione periodica delle performance Le performance vengono valutate periodicamente sulla base degli obiettivi stabiliti a inizio anno. Alla chiusura dell’esercizio viene svolto un esame più formale a seguito del completamento del processo di reporting di fine anno.

25 Slide 25 Valutazione del rischio – Principio 8 Obiettivi del financial reporting Il management determina gli obiettivi del financial reporting con chiarezza e adotta criteri adeguati per consentire l’identificazione dei rischi che possono pregiudicarne l’attendibilità per es.mancata acquisizione/contabilizzazione di tutte le operazioni, contabilizzazione nel periodo sbagliato, cancellazione di operazioni già contabilizzate Caratteristiche E’ conforme ai principi contabili generalmente accettati Supporta l’informativa di bilancio Rispecchia la realtà aziendale E’ supportato dalle pertinenti asserzioni di bilancio Approcci Identificare le asserzioni di bilancio Considerare l’estensione delle attività di valutazione delle operazioni aziendali per garantire la loro completa rilevazione in bilancio Comparare le policy contabili con il mercato per lo stesso settore di attività

26 Slide 26 Valutazione del rischio – Principio 8 Obiettivi del financial reporting Esempi di applicazione del principio Esame delle policy contabili Esaminare la correttezza delle policy adottate, gli incentivi che spingono un manager ad adottare determinate policy, le policy adottate da aziende concorrenti e i legami tra policy contabili controverse Esame dei processi del financial reporting Classificare i sottoprocessi in due categorie quelli che hanno un impatto diretto sul financial reporting e quelli che contribuiscono prevalentemente alla efficienza delle operazioni aziendali

27 Slide 27 Valutazione del rischio – Principio 9 Rischi del financial reporting L’impresa identifica e analizza i rischi, che potrebbero pregiudicare il conseguimento degli obiettivi del financial reporting, anche al fine di stabilire come gestirli Caratteristiche Considera i processi operativi Considera le risorse umane Considera le tecnologie informatiche Coinvolge appropriati livelli di management Considera fattori sia esterni che interni Valuta la probabilità e l’impatto Stabilisce indicatori per rivalutare il rischio Approcci Attuare il processo di identificazione dei rischi Mappare i controlli Interagire con soggetti esterni Esaminare i fattori esterni Aggiornare la valutazione dei rischi Incontri con il personale

28 Slide 28 Valutazione del rischio – Principio 9 Rischi del financial reporting Esempi di applicazione del principio Analizzare i rischi per funzione I rischi vengono valutati considerando l’impatto potenziale sul financial reporting e la probabilità di accadimento. Successivamente viene compilata una matrice che descrive ciascun rischio, la sua valutazione e i fattori che l’hanno determinata. Analizzare i rischi riguardanti le operazioni con i terzi Valutare anche i rischi associati ad operazioni svolte in outsourcing. Analizzare i rischi connessi all’IT Stabilire quali sono i sistemi informativi sui quali il management può fare affidamento ai fini del financial reporting

29 Slide 29 Valutazione del rischio – Principio 9 Rischi del financial reporting Esempi di applicazione del principio Determinare i criteri che attivano il processo di rivalutazione dei rischi del financial reporting Nel caso di cambiamenti nella normativa che definisce i requisiti del finacial reporting, o di cambiamenti nelle policy contabili utilizzate o di cambiamenti all’interno della società risulta necessario rivalutare i rischi associati al financial reporting. Valutare i rischi delle voci più significative del bilanci Nella valutazione dei rischi si tengono presenti i seguenti aspetti: impatto sul bilancio, caratteristiche delle voci di bilancio, caratteristiche dei processi operativi, rischio di frode e fattori a livello complessivo aziendale Utilizzo di un sistema per la valutazione dei rischi Es. Diversi livelli di rischio (ALTO_MEDIO_BASSO)

30 Slide 30 Valutazione del rischio – Principio 10 Rischio di frode L’eventualità che si verifichino errori significativi a causa di azioni fraudolente viene esplicitamente considerata quando si valutano i rischi che influiscono sul conseguimento degli obiettivi del financial reporting Caratteristiche Considera gli incentivi e le sollecitazioni verso pratiche fraudolente Considera i fattori di rischio Fissa le responsabilità Approcci Esamina gli incentivi e le sollecitazioni, legati ai sistemi premianti, verso pratiche fraudolente Condurre una valutazione del rischio di frode Definire le potenziali prassi per eludere o aggirare i controlli Utilizzare gli strumenti informativi Definire processi investigativi e piani di azione in caso di azioni fraudolente Considerare il rischio di frode nell’attività di internal auditing

31 Slide 31 Valutazione del rischio – Principio 10 Rischio di frode Esempi di applicazione del principio Individuare vendite fittizie o esposte in bilancio in modo errato Analizzare un campione di vendite registrate per attestarne la validità Prevenire la corruzione nel settore navale Creazione di una linea etica anonima a cui tutti i dipendenti della società possono comunicare potenziali infrazioni al codice etico commesse dai colleghi Prevenire le frodi sui buoni omaggio nel settore delle vendite al dettaglio Utilizzo di procedure automatiche per evitare frodi di questo tipo Rilevare e indagare sulle frodi in una società finanziaria di credito al consumo Controlli trimestrali sulle segnalazioni anonime da parte dei dipendenti di potenziali attività fraudolente

32 Slide 32 Valutazione del rischio – Principio 10 Rischio di frode Esempi di applicazione del principio Promuovere l’impegno all’etica Il codice di condotta è reso disponibile a tutto il personale e a terzi tramite sito Internet. Ogni dipendente riceve il codice e firma una dichiarazione in cui assicura di averne letto e compreso il contenuto Incoraggiare il personale a segnalare illeciti Implementazione di un canale riservato (ethic hotline /whistleblower). I dipendenti possono segnalare frodi potenziali o altri illeciti senza paura di ritorsione Attivare interventi correttivi in caso di evento illecito In presenza di sospetti illeciti/frodi la procedura prevede il blocco temporaneo degli accessi fisici e logici. Se i sospetti sono confermati si procede a sanzioni adeguate alla gravità del fatto

33 Slide 33 Attività di controllo – Principio 11 Integrazione con la valutazione del rischio Si intraprendono le necessarie azioni per gestire il rischio al fine di conseguire gli obiettivi del financial reporting Caratteristiche Contenere i rischi Considera tutti gli aspetti più significativi del processo contabile Considera l’IT Approcci Esaminare i controlli a livello aziendale (enitity level control) Organizzare workshop per identificare e valutare i controlli Utilizzare matrici rischi/controlli per identificare e valutare i controlli Adottare liste predefinite per identificare e valutare i controlli Adottare report del tipo Sas 70

34 Slide 34 Attività di controllo – Principio 11 Integrazione con la valutazione del rischio Esempi di applicazione del principio Focalizzarsi sui rischi e sui controlli relativi alle stime di bilancio e alle scritture di attestamento Definizione degli obiettivi del financial reporting, delle asserzioni di bilancio, dei rischi identificati e dei controlli. Le analisi riguardando la tenuta della contabilità generale, gli accantonamenti, le stime di bilancio, le riserve, la chiusura periodica dei conti, le procedure di consolidamento, la redazione del bilancio, …. Adattare modelli di riferimento per le attività di controllo più comuni Esaminare la lista dei controlli più comuni ed associare ogni controllo ad un rischio identificato nel corso del processo di valutazione dei rischi al fine di elaborare policy e procedure adeguate rispetto all’operatività aziendale.

35 Slide 35 Attività di controllo – Principio 11 Integrazione con la valutazione del rischio Esempi di applicazione del principio Utilizzo del report ”Sas 70” redatto da una società esterna che elabora buste paga Un auditor esterno verifica i controlli relativi all’identificazione, all’elaborazione e alla registrazione delle transazioni della società esterna ed emette un report “Sas 70 di tipo II”

36 Slide 36 Attività di controllo – Principio 12 Selezione e sviluppo delle attività di controllo Le attività di controllo sono selezionate e sviluppate in funzione del loro costo e della loro potenziale efficacia nel mitigare i rischi che possono pregiudicare il conseguimento degli obiettivi del financial reporting Caratteristiche Considera i “range” di attività Comprende i controlli preventivi e successivi Richiede la separazione dei compiti Contempla un adeguato rapporto costi-benefici Approcci Separa attività incompatibili Monitora quando non è possibile attuare la “limitazione degli accessi” Predisporre il report “Sas 70” Valutare il rapporto costi/benefici dei vari approcci al controllo Utilizzare l’organigramma per identificare funzioni incompatibili Considerare i controlli compensativi

37 Slide 37 Attività di controllo – Principio 12 Selezione e sviluppo delle attività di controllo Esempi di applicazione del principio Utilizzare controlli preventivi e successivi per la salvaguardia delle attività patrimoniali Definizione di tre livelli di difesa contro accessi non autorizzati nelle aree di giacenza merce preziosa e riconciliazione giacenze settimanale. Separazione dei compiti nell’area dei pagamenti Separazione della funzione pagamenti dalla funzione amministrativa-contabile La separazione dei compiti nell’area magazzino Separazione dei compiti tra chi accede al magazzino e chi tiene la relativa contabilità, al fine di mitigare il rischio di perdite di materiali o di appropriazioni indebite, senza alcuna possibilità di individuare queste disfunzioni

38 Slide 38 Attività di controllo – Principio 12 Selezione e sviluppo delle attività di controllo Esempi di applicazione del principio La separazione dei compiti nell’area degli acquisti Distinzione di: addetto al ricevimento di materiali, addetto al magazzino, addetto ai pagamenti e controller La separazione dei compiti nell’area delle immobilizzazioni materiali Separazione dei compiti per minimizzare il rischio di furti d cespiti e di errori o frodi relativi all’accuratezza e alla completezza dell’elaborazione dei dati delle registrazioni contabili Bilanciare i costi con relativi benefici Ciclo Magazzino : per mitigare il rischio che le quantità contabili coincidano con quelle fisiche il management decide di implementare una rigida politica di inventario fisico trimestrale

39 Slide 39 Attività di controllo – Principio 13 Policy e procedure Le policy riguardanti l’attendibilità del financial reporting sono definite e diffuse in tutta l’impresa, assieme alle relative procedure da eseguire derivanti da direttive del management Caratteristiche Richiede l’integrazione delle attività di controllo nei processi operativi e la definizione delle responsabilità e la conseguente rendicontazione Esige che le procedure si attuino tempestivamente e si implementino integralmente Contempla lo svolgimento di indagini sulle eccezioni rilevate e il riesame periodico Approcci Elaborare e documentare policy e procedure Esaminare i controlli preventivi e successivi Elaborare policy da applicare a livello aziendale

40 Slide 40 Attività di controllo – Principio 13 Policy e procedure Esempi di applicazione del principio Servirsi di modelli di riferimento per documentare le policy Utilizzare un modello di riferimento standard per l’elaborazione delle policy La documentazione e l’approvazione delle policy Documentare formalmente le policy per i processi operativi di maggior rilievo sotto forma di linee guida, che sono approvate dal CdA e comunicate a tutto il personale della società attraverso il portale aziendale. Le policy dei pagamenti Policy applicata a tutti i livelli della scala gerarchica indicante i limiti di approvazione fissati in funzione dei poteri assegnati a persone o gruppi. Servirsi del sw per documentare le attività di controllo Realizzare diagrammi di flusso per documentare le attività di controllo

41 Slide 41 Attività di controllo – Principio 14 Information technology I controlli sui sistemi informativi, se del caso, sono progettati e realizzati per favorire il conseguimento degli obiettivi del financial reporting Caratteristiche Considera i controlli applicativi Esamina i controlli generali sui sistemi informativi Considera l’”End User Computing” Complessità Approcci Sviluppo di sistemi Gestione del cambiamento Manutenzione dei sistemi realizzati in ambienti IT Controlli sulla sicurezza degli accessi Controlli applicativi End user approaching

42 Slide 42 Attività di controllo – Principio 14 Information technology Esempi di applicazione del principio Gestire lo sviluppo e l’implementazione di un nuovo software in ambienti più complessi Sviluppo di un nuovo sw in-house dopo aver identificato le funzionalità necessarie e i rischi associati. Implementazione, testing e passaggio in produzione del nuovo sw. Gestione delle modifiche ai pacchetti sw standard negli ambienti informativi meno complessi Analisi dei motivi per cui il cambiamento risulta necessario e delle relative implicazioni Gestione delle modifiche del sw sviluppato internamente negli ambienti informatici più complessi Utilizzo di un’applicazione per la verifica e la migrazione dei dati in ambiente di produzione e per la gestione del versionamento

43 Slide 43 Attività di controllo – Principio 14 Information technology Esempi di applicazione del principio Accesso mediante password in ambienti meno complessi Utilizzo di password di accesso alle applicazioni critiche, ai db, ai sistemi operativi e alla rete Controlli sulla sicurezza logica in ambienti più complessi Profili utente, Controlli di autenticazione, Profili privilegiati, Verifiche delle applicazioni e Verifiche di sicurezza Definizione dei parametri per la restrizione alla connettività esterna in ambienti più complessi Limitare l’accesso ai firewall, configurare i routers, bloccare i pacchetti che non corrispondono alle impostazioni di sicurezza, monitorare gli accessi Controllo del fornitore esterno Verifica annuale report Sas 70, accordo contro la divulgazione di informazioni riservate da parte dell’outsourcer, gestione rapporti con l’outsourcer

44 Slide 44 Informazione e comunicazione – Principio 15 Informazioni per il financial reporting Informazioni pertinenti sono identificate, acquisite ed utilizzate da tutti i livelli della scala gerarchica aziendale, e distribuite e presentate nella forma e nei tempi previsti, di modo che si faciliti il conseguimento degli obiettivi e del financial reporting. Caratteristiche Acquisisce i dati Include informazioni economiche- finanziarie Utilizza fonti interne ed esterne Include informazioni operative Mantiene costante nel tempo la qualità dell’informazione Approcci Utilizzo di matrici per analizzare i flussi informativi Ottenere informazioni da fonti esterne Riunioni con il personale di altre aree organizzative

45 Slide 45 Informazione e comunicazione – Principio 15 Informazioni per il financial reporting Esempi di applicazione del principio L’uso delle matrici per rilevare i flussi informativi Le matrici evidenziano informazioni sulle persone o sulle funzioni responsabili di produrre, modificare, approvare, utilizzare e monitorare le informazioni in ciascun processo o sottoprocesso. Utilizzare gli incontri con il management per convalidare e documentare le ipotesi di base Incontri con il CFO e con tutti i responsabili di funzione per convalidare o documentare le ipotesi di base Utilizzare le informazioni operative per il financial reporting Considerare leggi e disposizioni di legge

46 Slide 46 Informazione e comunicazione– Principio 16 Informazioni per il sistema di controllo interno Informazioni che facilitano il funzionamento degli altri componenti del sistema di controllo interno, sono identificate, acquisite e diffuse nella forma e nei tempi che consentono al personale di esercitare le responsabilità di controllo interno assegnate. Caratteristiche Acquisisce i dati Provoca decisioni e cambiamenti Mantiene costante la qualità nel tempo Approcci Sviluppare e mantenere la mappatura dei dati informativi Identificare le informazioni tramite colloqui

47 Slide 47 Informazione e comunicazione– Principio 16 Informazioni per il sistema di controllo interno Esempi di applicazione del principio L’uso della mappatura delle informazioni nell’area dei “debiti verso fornitori” La mappatura descrive come è utilizzata l’informazione ai fini del controllo interno o come base per monitorare e testare i processi di controllo. Il management è in grado di determinare le aree chiave del processo dove i rischi di affidabilità dell’informazione sono più elevati Utilizzare il sw per integrare la documentazione dei processi, dei controlli e dei sistemi Il sw agevola la rilevazione integrata del processo, dei controlli relativi e la documentazione del sistema, identifica l’input del processo, le attività di processo, i controlli e i sistemi di supporto all’informazione.

48 Slide 48 Informazione e comunicazione– Principio 16 Informazioni per il sistema di controllo interno Esempi di applicazione del principio La valutazione dei rischi tiene conto delle variazioni avvenute nei sistemi informativi Identificazione dei nuovi rischi che sono stati accertati, compresi quelli generati da cambiamenti nei sistemi, nei processi di gestione del personale o nelle altre attività.

49 Slide 49 Informazione e comunicazione– Principio 17 Comunicazioni interne Le comunicazioni consentono di realizzare gli obiettivi del controllo interno, di attivare i processi e di esercitare le responsabilità a tutti i livelli della struttura organizzativa aziendale. Caratteristiche Comunica al personale Comunica al CdA Stabilisce canali separati di comunicazione Accesso all’informazione Approcci Comunicare le informazioni riguardanti gli obiettivi del financial reporting Comunicare tramite internet Esaminare le informazioni del financial reporting con il Comitato per il Controllo Interno Comunicazioni tra il CdA e internal auditor Comunicare tramite i whistle-blower program e canali alternativi di reporting Elaborare linee guida per comunicare con il CdA Ricorrere all’assistenza di consulenti esterni

50 Slide 50 Informazione e comunicazione– Principio 17 Comunicazioni interne Esempi di applicazione del principio Usare programmi di comunicazione per potenziare il controllo interno Comunicare tramite newsletter e organizzare incontri diretti con il personale per rafforzare il significato di controllo interno orientato al financial reporting e per illustrare il modo in cui esso è legato alle leggi e ai regolamenti Agevolare le comunicazioni tra il Ceo e il CdA Incontri mensili tra il Ceo e il presidente del CdA Definire un programma formativo per agevolare le comunicazioni verso l’alto Assegnare al personale coinvolto nel processo del financial reporting un tutor con esperienza significativa nel financial reporting e nel controllo interno

51 Slide 51 Informazione e comunicazione– Principio 17 Comunicazioni interne Esempi di applicazione del principio Utilizzare il “counselling” per il personale al fine di agevolare le comunicazioni verso l’alto Riunioni trimestrali tra il Ceo e altri componenti del senior management con il personale per discutere argomenti di rilievo che interessano la società Ricorrere all’assistenza di consulenti esterni Il consulente esterno fornisce una serie di raccomandazioni che verranno poi valutate dalla società che deciderà poi sui principi da adottare

52 Slide 52 Informazione e comunicazione– Principio 18 Comunicazioni esterne Fatti che possono incidere sul conseguimento degli obiettivi del financial reporting sono comunicati a terze parti interessate Caratteristiche Fornisce input Fornisce valutazioni indipendenti Approcci Comunicare il programma di whistle-blower a soggetti esterni Indagine conoscitiva presso i soggetti esterni Esaminare le comunicazioni della società di revisione

53 Slide 53 Informazione e comunicazione– Principio 18 Comunicazioni esterne Esempi di applicazione del principio Agevolare le comunicazioni con i clienti Comunicazione periodica con i clienti per comprendere i cambiamenti svolti nell’attività del cliente e i fattori esterni che influenzano le sue strategie Agevolare la comunicazione con i soggetti esterni Rilevare e registrare domande, preoccupazioni, reclami provenienti da soggetti esterni. Rilevare le problematiche più significative relative ad illeciti o ad errori nel financial reporting Comunicare con le autorità di vigilanza In caso di problemi comunicare con le società di vigilanza

54 Slide 54 Monitoraggio – Principio 19 Monitoraggio continuo e valutazioni specifiche Il monitoraggio continuo e/o valutazioni specifiche consentono al management di determinare se i componenti del controllo interno finalizzato al financial reporting siano presenti e operativi Caratteristiche Integrato nelle attività operative Consente una valutazione obiettiva Impiega personale competente Tiene conto dei feedback Modifica l’ambito e la frequenza Approcci Utilizzare dati quantitativi per valutare le performance Sviluppare e implementare le “Control Chart” Correlare i dati quantitativi al financial reporting Effettuare autovalutazioni Effettuare test della rete interna Utilizzare la funzione di internal audit Determinare ambito e frequenza delle “valutazioni specifiche”

55 Slide 55 Monitoraggio – Principio 19 Monitoraggio continuo e valutazioni specifiche Esempi di applicazione del principio Sono definiti degli indicatori chiave per migliorare il monitoraggio delle performances Definire indicatori chiave di performances legati ai dati contenuti nel financial reporting Utilizzare dati quantitativi operativi e indicatori chiave di controllo Adottare dati quantitativi operativi e indicatori chiave di controllo per i principali processi contabili, inclusi i processi relativi ai crediti verso i clienti, alle paghe, ai debiti verso i fornitori e alla redazione del bilancio. L’attività di monitoraggio continuo come indicatore dell’efficacia del controllo Es. Inventario ciclico continuo

56 Slide 56 Monitoraggio – Principio 19 Monitoraggio continuo e valutazioni specifiche Esempi di applicazione del principio Utilizzare informazioni operative nelle attività di monitoraggio Vendite: quadrare actual vs target Utilizzare le matrici per informazioni operative Ogni matrice evidenzia una serie di compiti (task) da svolgere, assegnati al management per essere attivati Utilizzare conoscenze dirette di un’azienda Servirsi di personale con un’ampia esperienza al fine di verificare errori o irregolarità e di verificare l’efficacia dei controlli interni Determinare l’ambito e la frequenza delle “valutazioni specifiche” La funzione di internal audit viene incaricata di svolgere “valutazioni specifiche” riguardanti alcuni processi operativi ad alto rischio

57 Slide 57 Monitoraggio – Principio 19 Monitoraggio continuo e valutazioni specifiche Esempi di applicazione del principio Valutazioni svolte dalle unità operative Valutare il sistema di controllo interno finalizzato al financial reporting impiegando personale proveniente da diverse unità operative Esternalizzare l’internal auditing Il Ceo e il Comitato di Controllo Interno incontrano trimestralmente il responsabile del lavoro di audit

58 Slide 58 Monitoraggio – Principio 20 Reporting sulle carenze riscontrate Le criticità riscontrate nei controlli interni sono identificate e segnalate tempestivamente a coloro che sono responsabili di intraprendere le necessarie azioni correttive, al management e al CdA, come ritenuto più opportuno Caratteristiche Segnala le criticità Segnala le carenze Attiva tempestivamente interventi correttivi Approcci Segnalare informazioni tramite canali alternativi Segnalare le carenze ai vari livelli della struttura organizzativa della società Sviluppare linee guida per segnalare le carenze

59 Slide 59 Monitoraggio – Principio 20 Reporting sulle carenze riscontrate Esempi di applicazione del principio Segnalare le carenze dei controlli al management Comunicare le carenze accertate e le relative raccomandazioni al management interessato Segnalare le carenze nei controlli e le relative soluzioni al CdA Il CdA supervisiona l’attività svolta dal management nella gestione delle carenze individuate nei controlli e periodicamente riceve un report che espone le carenze accertate e le relative soluzioni Segnalare carenze al CdA Una sintesi delle carenze viene inviata al CdA per essere esaminato e discusso

60 Slide 60 Domande?


Scaricare ppt "Sistemi di Gestione dei Dati e dei Processi Aziendali Il sistema di controllo interno – 20 principi."

Presentazioni simili


Annunci Google